Die Datenschutz-Folgenabschätzung (DSFA) soll dem Verantwortlichen dabei helfen, besondere Risiken für die Freiheiten und Rechte der betroffenen Personen, die bei einer Verarbeitung der personenbezogenen Daten entstehen können, zu erkennen und präventive Maßnahmen zur Minimierung des Risikos bzw. der Eintrittswahrscheinlichkeit zu treffen. Die DSFA selbst ersetzt nicht die Prüfung der datenschutzrechtlichen Zulässigkeit. Vielmehr knüpft die DSFA gedanklich an die Zulässigkeitsprüfung unmittelbar an und soll eine Hilfestellung geben, welche zusätzlichen Maßnahmen zur Risikominimierung infrage kommen.
Haben ähnliche Verarbeitungen ähnliche Risiken, so kann eine einzige DSFA zur Bewertung mehrerer Verarbeitungsvorgänge erstellt werden.
Wann ist eine DSFA durchzuführen?
Nach Art. 35 Abs. 1 DSGVO ist eine DSFA durchzuführen, wenn die Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, und zwar insbesondere dann, wenn neue Technologien verwendet werden.
Der Gesetzgeber führt 3 Beispiele an, bei denen eine DSFA insbesondere erforderlich ist:
- Systematische und umfassende Bewertung persönlicher Aspekte, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen.
- Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Art. 9 DSGVO.
- Systematische Überwachung von öffentlich zugänglichen Räumen.
Diese 3 Beispiele dienen nur als Auslegungshilfe und verstehen sich nicht als abschließender Regelungskatalog. Auch wenn eine Verarbeitung sich nicht in die 3 Kategorien fassen lässt, kann eine DSFA dennoch nach Art. 35 Abs. 1 DSGVO erforderlich sein.
Zudem können die Aufsichtsbehörden eine Liste mit Verarbeitungstätigkeiten erstellen, für die eine DSFA ungeachtet der vorstehenden Kriterien zu erstellen ist.
Aktuell ist umstritten, ob bei der Einführung einer internen Meldestelle nach dem Hinweisgeberschutzgesetz eine DSFA durchgeführt werden muss. Hinweisgeber können über diese interne Stelle potenziell persönliche Daten, Verstöße oder möglicherweise sogar strafbares Verhalten des Beschuldigten melden. Wenn die Meldung nicht anonym erfolgt, kann dies die Verarbeitung persönlicher Daten (z. B. des Hinweisgebers, der im Hinweis genannten Personen oder anderer beteiligter Personen) nach sich ziehen und somit den Geltungsbereich der DSGVO eröffnen. Gemäß dem Wortlaut des Art. 35 Abs. 1 DSGVO ist eine solche Folgenabschätzung erforderlich, wenn die Verarbeitung sensibler personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Um zu ermitteln, ob ein solches Risiko gegeben ist wird eine sogenannte Schwellenwertanalyse durchgeführt. Aufgrund dessen, dass über Hinweisgeberschutzsysteme sensible Inhalte, Verstöße oder Straftaten gemeldet werden können, ist anzuraten eine DSFA vor der Einrichtung der internen Meldestellen durchzuführen.
Die Datenschutzkonferenz (DSK), als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden, hat eine Liste mit Verarbeitungen veröffentlicht, bei denen zwingend eine DSFA durchzuführen ist (sogenannte "Muss-Liste", englisch "Blacklist"). Die Liste ist z. B. über folgenden Link abrufbar: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf
Zusätzlich zu den Angaben auf dieser "Muss-Liste" empfiehlt die DSK die Durchführung einer DSFA bei der Einführung einer Whistleblowing-Hotline.
Die nationalen "Muss-Listen" wurden dem Europäischen Datenschutzausschuss (EDSA) übermittelt. In einem Kohärenzverfahren soll der EDSA für eine Vereinheitlichung der "Muss-Listen" der Mitgliedsstaaten sorgen. Am Ende des Kohärenzverfahrens soll dann eine, in allen Mitgliedsstaaten gleichsam gültige, einheitliche "Muss-Liste" entstehen.
Was ist bei Erstellung der DSFA zu beachten?
Bei der Erstellung der DSFA ist der Rat des Datenschutzbeauftragten einzuholen (sofern ein solcher bestellt ist). Zudem ist gegebenenfalls der Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einzuholen. Aufgrund des gewählten Wortlauts ("gegebenenfalls") ist dies jedoch keine Pflicht. Allerdings kann es sinnvoll sein, Arbeitnehmer bzw. Interessenvertreter frühzeitig einzubinden, um etwaige Bedenken auffangen zu können. Bei Unternehmen mit Betriebsrat wird dieser nach § 87 Abs. 6 BetrVG ohnehin ein Mitbestimmungsrecht haben.
Kommt das Unternehmen in der DSFA zu dem Ergebnis, dass die Durchführung der Verarbeitung ein hohes Risiko birgt, so muss das Unternehmen die Aufsichtsbehörde konsultieren (vgl. hierzu Art. 36 DSGVO). Die Aufsichtsbehörde muss dann eine eigene Einschätzung der Verarbeitung durchführen und dem Unternehmen gegebenenfalls Empfehlungen geben, wie die Risiken der Verarbeitung minimiert werden können.
Aus Art. 35 Abs. 9 DSGVO geht hervor, dass der nicht bei jedem Verfahren beteiligt werden muss, bei einer Nichtbeteiligung...